• IT-Karriere:
  • Services:

Microsoft: Googles Project Zero veröffentlicht Windows-Sicherheitslücke

Über eine Sicherheitslücke in der Verschlüsselungsbibliothek Symcrypt lassen sich Windows-Server lahmlegen. Project Zero veröffentlichte die Sicherheitslücke nach 90 Tagen. Patches von Microsoft sollen erst im Juli folgen.

Artikel veröffentlicht am ,
Eine Sicherheitslücke in Symcrypt ermöglicht DoS-Angriffe.
Eine Sicherheitslücke in Symcrypt ermöglicht DoS-Angriffe. (Bild: Gerd Altmann)

Seit über 90 Tagen weiß Microsoft von einer Sicherheitslücke in der Verschlüsselungsbibliothek Symcrypt. Trotzdem wurde die Lücke bisher nicht geschlossen. "Heute ist Tag 91, also ist die Lücke jetzt öffentlich. Ich halte den Schweregrad für relativ niedrig, aber man kann damit relativ einfach eine ganze Windows-Flotte ausschalten. Es lohnt sich also, sich dessen bewusst zu sein", schreibt der Entdecker Tavis Ormandy von Googles Sicherheitsinitiative Project Zero auf Twitter. Nach den Richtlinien des Projekts hat ein Hersteller 90 Tage Zeit, einen Fix bereitzustellen, bevor Informationen zu Sicherheitslücken veröffentlicht werden.

Stellenmarkt
  1. Statistisches Landesamt Rheinland-Pfalz, Bad Ems
  2. Stadt Ingolstadt, Ingolstadt

Symcrypt wird von Windows 8 standardmäßig für symmetrische Verschlüsselungsfunktionen verwendet. Seit Oktober 2017 nutzt Windows 10 Symcrypt standardmäßig für alle kryptographischen Funktionen. Mit Hilfe eines präparierten X.509-Zertifikats lässt sich eine endlose Rechenoperation triggern, welche für einen Denial-of-Service-Angriff (DoS) genutzt werden kann.

"Ich habe festgestellt, dass das Einbetten des Zertifikats in eine S/MIME-Nachricht, eine Authenticode-Signatur, eine Schannel-Verbindung usw. jeden Windows-Server (z. B. IPsec [VPN], IIS [nternet Information Services], Exchange usw.) zum Erliegen bringt und (je nach Kontext) das Rebooten der Maschine erfordern kann", schreibt Ormandy in einem Bugreport. Viele Programme, die nicht vertrauenswürdige Inhalte verarbeiten (wie Antivirenprogramme), würden diese Routinen aufrufen - und könnten damit das System zum Stillstand bringen. Neben der Fehlerbeschreibung veröffentlicht Ormandy auch ein Proof-of-Concept-Zertifikat (PoC), mit dem das Problem nachvollzogen werden kann.

Ormandy hatte die Sicherheitslücken bereits im März vor der Open-Source-Veröffentlichung von Symcrypt gemeldet. Der Code der Software steht seit April auf Github. Microsoft will laut Ormandy erst im Juli Patches für die Sicherheitslücken veröffentlichen, da beim Testen Probleme aufgetreten seien.

Bitte aktivieren Sie Javascript.
Oder nutzen Sie das Golem-pur-Angebot
und lesen Golem.de
  • ohne Werbung
  • mit ausgeschaltetem Javascript
  • mit RSS-Volltext-Feed


Anzeige
Spiele-Angebote
  1. 7,99€
  2. 19€
  3. (-83%) 9,99€
  4. ab 1€

Folgen Sie uns
       


Huawei Mate Xs im Test

Das Mate Xs von Huawei ist ein Smartphone mit faltbarem Display - und für uns das erste, das vom Design her alltagstauglich ist. Das dürfte allerdings zu Lasten der Widerstandsfähigkeit gehen.

Huawei Mate Xs im Test Video aufrufen
DSGVO: Nicht weniger als Staatsversagen
DSGVO
Nicht weniger als Staatsversagen

Unterfinanziert und wirkungslos - so zeigen sich die europäischen Datenschutzbehörden nach zwei Jahren DSGVO gegenüber Konzernen wie Google und Facebook.
Eine Analyse von Christiane Schulzki-Haddouti

  1. Datenschutzverstöße EuGH soll über Verbandsklagerecht entscheiden
  2. DSGVO Proton vergisst Git-Zugang auf Datenschutzwebseite
  3. DSGVO Iren sollen Facebook an EU-Datenschützer abgeben

Ikea Trådfri im Test: Das preisgünstige Smart-Home-System
Ikea Trådfri im Test
Das preisgünstige Smart-Home-System

Ikea beweist, dass ein gutes Smart-Home-System nicht sündhaft teuer sein muss - und das Grundprinzip gefällt uns besser als bei Philips Hue.
Ein Test von Ingo Pakalski

  1. Ikea Trådfri Fehlerhafte Firmware ändert Schaltverhalten der Lampen
  2. Fyrtur und Kadrilj Ikeas smarte Rollos lernen Homekit
  3. Trådfri Ikeas dimmbares Filament-Leuchtmittel kostet 10 Euro

Energieversorgung: Wasserstoff-Fabrik auf hoher See
Energieversorgung
Wasserstoff-Fabrik auf hoher See

Um überschüssigen Strom sinnvoll zu nutzen, sollen in der Nähe von Offshore-Windparks sogenannte Elektrolyseure installiert werden. Der dort produzierte Wasserstoff wird in bestehende Erdgaspipelines eingespeist.
Ein Bericht von Wolfgang Kempkens

  1. Industriestrategie EU plant Allianz für sauberen Wasserstoff
  2. Energie Dieses Blatt soll es wenden
  3. Energiewende Grüner Wasserstoff aus der Zinnschmelze

    •  /